Cerber 3 usuwanie pozostałości - Slepy19 - 15.09.2016
Dzień Dobry,
Jestem szczęśliwym posiadaczem ronsmomware cerber3. Sprawdzcie czy się go ostatecznie pozbyłem. Dziękuję
Farbar
[Aby zobaczyć linki, zarejestruj się tutaj]
RE: Cerber 3 usuwanie pozostałości - dolar444 - 15.09.2016
Pozwolę sobie dopisać brakuje dwóch dodatkowych logów.
Cytat:2. Uruchom, zaznacz opcję Shortcut.txt kliknij Scan. Po zakończeniu zostaną wygenerowane raporty FRST.txt, Addition.txt oraz Shortcut.txt.
RE: Cerber 3 usuwanie pozostałości - Slepy19 - 16.09.2016
Dzięki, Pośpiech to największy wróg ! :-)
FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
Addition
[Aby zobaczyć linki, zarejestruj się tutaj]
Shortcut
[Aby zobaczyć linki, zarejestruj się tutaj]
A i musze pousuwać pliki readme :-) Do usunięcia szkodnika wykorzystałem: hitmanpro, malwarebytes oraz adw cleaner.
Jeszcze raz dzieki :-)
RE: Cerber 3 usuwanie pozostałości - tachion - 16.09.2016
Oczywiście na ten typ ransoma nie ma dekodera, czy zakodowane pliki mają zostać usunięte ?
RE: Cerber 3 usuwanie pozostałości - Slepy19 - 16.09.2016
Pliki muszą zostać - może znajdzie się jeszcze większy cwaniak który to odkoduje :-)
RE: Cerber 3 usuwanie pozostałości - tachion - 16.09.2016
ok
Odinstaluj:
Java 7 Update 45
Qtrax Connection Manager
Sentinel Protection Installer 7.6.6
Do notatnika wklej i zapisz jako fixlist.txt
Kod: CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1712635404-4187540058-2035219687-1000\...\Run: [YdcPack] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\W7HP\AppData\Local\Ujmedia\hgjwixcw.dll
SearchScopes: HKU\S-1-5-21-1712635404-4187540058-2035219687-1002 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
Toolbar: HKU\S-1-5-21-1712635404-4187540058-2035219687-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku
FF Keyword.URL: hxxp://www.bing.com/search?FORM=UP97DF&PC=UP97&q=
FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
S3 AdobeFlashPlayerUpdateSvc; C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [X]
S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 mdareDriver_48; \??\C:\Program Files (x86)\Fortinet\FortiClient\mdare64_48.sys [X]
S3 mdareDriver_52; \??\C:\Program Files (x86)\Fortinet\FortiClient\mdare64_52.sys [X]
S3 mdareDriver_61; \??\C:\Users\W7HP\AppData\Local\Temp\FCPreScan\mdare64_61.sys [X]
S3 mdareDriver_62; \??\C:\Users\W7HP\AppData\Local\Temp\FCPreScan\mdare64_62.sys [X]
S3 mdareDriver_63; \??\C:\Users\W7HP\AppData\Local\Temp\FCPreScan\mdare64_63.sys [X]
S3 mdareDriver_64; \??\C:\Windows\system32\Drivers\mdare64_64.sys [X]
C:\autoexec.bat
C:\Users\W7HP\AppData\Local\YmjPack
C:\Users\W7HP\AppData\Local\Ujmedia
C:\Users\W7HP\AppData\Roaming\winmgr.txt
C:\Users\Zdalny\Desktop\@[email protected]
C:\Users\W7HP\Downloads\@[email protected]
C:\Users\W7HP\Documents\@[email protected]
C:\Users\W7HP\Desktop\@[email protected]
C:\Users\W7HP\@[email protected]
C:\Users\Zdalny\Desktop\@[email protected]
C:\Users\W7HP\Downloads\@[email protected]
C:\Users\W7HP\Documents\@[email protected]
C:\Users\W7HP\Desktop\@[email protected]
C:\Users\W7HP\@[email protected]
C:\Users\Zdalny\Desktop\@[email protected]
C:\Users\W7HP\Downloads\@[email protected]
C:\Users\W7HP\Documents\@[email protected]
C:\Users\W7HP\Desktop\@[email protected]
C:\Users\W7HP\@[email protected]
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeAAMUpdater-1.0
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched
Task: {62633F80-2961-48C8-8B96-BDA5AAC25731} - \ReimageUpdater -> Brak pliku <==== UWAGA
Task: {B8F75705-A41C-4162-8D16-C500B29C2578} - System32\Tasks\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
Task: {ED9B8023-30DB-4919-81AA-49247FB0A0EF} - System32\Tasks\{10EF5062-FADE-4238-95E4-4EA61663B88F}-Kodak Share Button App Camera detect => C:\Program Files (x86)\Kodak\KODAK Share Button App\Listener.exe [2012-10-11] (Eastman Kodak Company)
Task: {EFFE451C-E64E-4A5E-BA4A-3A7AD6659780} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2016-09-08] (Adobe Systems Incorporated)
CMD: netsh advfirewall reset
EmptyTemp:
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.
Google Chrome
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję "Zresetuj ustawienia przeglądarki".
Zrób nowe logi i przedstaw z FRST.txt > Addition.txt
RE: Cerber 3 usuwanie pozostałości - Slepy19 - 19.09.2016
Addition.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
Dzięki
RE: Cerber 3 usuwanie pozostałości - tachion - 19.09.2016
Podaj mi jeszcze raport z wykonania, jak i zrób logi z dodatkowych kont które posiadasz.
I nie przełączaj się pomiędzy kontami, tylko wyloguj się i zaloguj ponownie na każde konto.
RE: Cerber 3 usuwanie pozostałości - Slepy19 - 20.09.2016
OK, LOG Z głównego konta:
Shortcut
[Aby zobaczyć linki, zarejestruj się tutaj]
RE: Cerber 3 usuwanie pozostałości - tachion - 20.09.2016
Logi co dałeś ostatnie już nie musisz podawać. Pisałem żebyś mi podał logi FRST.txt Addition.txt jak i Shortcut.txt z innych kont.
Brak jeszcze pierwszego wynikowego raportu, który miałeś dostarczyć po wykonaniu skryptu !
RE: Cerber 3 usuwanie pozostałości - Slepy19 - 21.09.2016
Reszta kont nie jest w ogóle używana. Dodatkowo nie znam hasła na komputer hasła
Raport po leczeniu.
[Aby zobaczyć linki, zarejestruj się tutaj]
Logi z konta gość:
Addition
[Aby zobaczyć linki, zarejestruj się tutaj]
FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
Shortcut
[Aby zobaczyć linki, zarejestruj się tutaj]
Pozdrawiam
RE: Cerber 3 usuwanie pozostałości - tachion - 21.09.2016
Poprzedni skrypt nie był skopiowany tak jak trzeba i wykonany.
Zaloguj się na konto (nie przełączaj) W7HP
Do notatnika wklej i zapisz jako fixlist.txt
Kod: CloseProcesses:
CreateRestorePoint:
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 mdareDriver_48; \??\C:\Program Files (x86)\Fortinet\FortiClient\mdare64_48.sys [X]
S3 mdareDriver_52; \??\C:\Program Files (x86)\Fortinet\FortiClient\mdare64_52.sys [X]
S3 mdareDriver_61; \??\C:\Users\W7HP\AppData\Local\Temp\FCPreScan\mdare64_61.sys [X]
S3 mdareDriver_62; \??\C:\Users\W7HP\AppData\Local\Temp\FCPreScan\mdare64_62.sys [X]
S3 mdareDriver_63; \??\C:\Users\W7HP\AppData\Local\Temp\FCPreScan\mdare64_63.sys [X]
S3 mdareDriver_64; \??\C:\Windows\system32\Drivers\mdare64_64.sys [X]
C:\autoexec.bat
C:\Users\W7HP\AppData\Local\YmjPack
C:\Users\W7HP\AppData\Local\Ujmedia
C:\Users\W7HP\AppData\Roaming\winmgr.txt
C:\Users\Zdalny\Desktop\@[email protected]
C:\Users\W7HP\Downloads\@[email protected]
C:\Users\W7HP\Documents\@[email protected]
C:\Users\W7HP\Desktop\@[email protected]
C:\Users\W7HP\@[email protected]
C:\Users\Zdalny\Desktop\@[email protected]
C:\Users\W7HP\Downloads\@[email protected]
C:\Users\W7HP\Documents\@[email protected]
C:\Users\W7HP\Desktop\@[email protected]
C:\Users\W7HP\@[email protected]
C:\Users\Zdalny\Desktop\@[email protected]
C:\Users\W7HP\Downloads\@[email protected]
C:\Users\W7HP\Documents\@[email protected]
C:\Users\W7HP\Desktop\@[email protected]
C:\Users\W7HP\@[email protected]
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeAAMUpdater-1.0
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched
Task: {62633F80-2961-48C8-8B96-BDA5AAC25731} - \ReimageUpdater -> Brak pliku <==== UWAGA
Task: {B8F75705-A41C-4162-8D16-C500B29C2578} - System32\Tasks\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
Task: {ED9B8023-30DB-4919-81AA-49247FB0A0EF} - System32\Tasks\{10EF5062-FADE-4238-95E4-4EA61663B88F}-Kodak Share Button App Camera detect => C:\Program Files (x86)\Kodak\KODAK Share Button App\Listener.exe [2012-10-11] (Eastman Kodak Company)
Task: {EFFE451C-E64E-4A5E-BA4A-3A7AD6659780} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2016-09-08] (Adobe Systems Incorporated)
CMD: netsh advfirewall reset
EmptyTemp:
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.
|